クラウドワークロード保護プラットフォーム(CWPP)とは?

クラウドワークロード保護プラットフォーム(CWPP)は、クラウドとオンプレミスのワークロードの脅威を軽減します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • クラウドワークロード保護プラットフォーム(CWPP)の定義
  • CWPPが保護するワークロードの種類を説明する
  • CWPPの主な機能を挙げる

記事のリンクをコピーする

クラウドワークロード保護プラットフォーム(CWPP)とは?

クラウドワークロード保護プラットフォーム(CWPP)とは、クラウドソフトウェア内部の脅威を検出および除去するセキュリティツールのことです。CWPPは、自動車のエンジン内部の欠陥や故障を、それらがさらなる損傷を引き起こす前に特定する自動車整備士のようなものです。ただし、自動車ではなく、クラウドサービスの内部を検査します。CWPP は、オンプレミスの物理サーバー、仮想マシンサーバーレス機能など、さまざまなワークロードを自動的に監視します。

クラウドワークロードとは?

コンピューティングにおいて、ワークロードとは、ある程度の量のメモリとコンピューティングパワーを使用するプログラムやアプリケーションのことを指します。クラウドコンピューティングでは、ワークロードはまさにそのようなものですが、クラウドプロバイダーによって遠隔地からホストされています。

かつては、すべてのワークロードは物理マシン上で動作していました。しかし、クラウドコンピューティングの時代には、ワークロードは多くの異なる抽象化レイヤーの上で実行されます。

「抽象化レイヤー」とは、高レベルの機能が低レベルの機能とやりとりするポイントのことで、高レベルの機能とやりとりする誰かまたは何かが、通常は低レベルの機能を意識しないように分離されています。例えば、ほとんどのユーザーはコンピュータのプログラミング方法を知りませんが、それでもコンピュータを使うことはできます。これは、関係するプログラミング言語がGUIやユーザーフレンドリーなアプリケーションを使うことで抽象化されているためです。

クラウドコンピューティングにおける抽象化レイヤーは、クラウドサーバーをより効率的に使用することを可能にしました。例えば、仮想マシンは、基盤となるサーバーのハードウェアを抽象化するものです。1台の物理サーバ上で複数の仮想マシンを動作させることがでるため、複数のクラウド利用者が同時にサーバを使用することが可能になります。

しかし、こうした複雑な抽象化レイヤーは、クラウドコンピューティング、特に使用されているさまざまなクラウドワークロードのセキュリティを確保する上で、複雑さを増すことにもなります。

種類: サービスモデル: 抽象化の場所 ホスティング場所: 環境:
サーバー セルフホスト型 物理ハードウェア オンプレミス 自社ハードウェア
仮想マシン IaaSPaaSSaaS ハイパーバイザー クラウドまたはオンプレミス 自社の仮想ハードウェア
コンテナ IaaS、PaaS OSのカーネル クラウド 自社のOS
サーバレス機能 FaaS プロバイダーによって異なる クラウド プロバイダにって異なる(CloudflareはChrome V8を使用 )。

これらの異なる場所でワークロードを実行する場合、使用されるリソース、場所、環境によって大きく異なります。これらを保護することは、オフィス、個人宅、駐車場のすべてを同時に保護しようとするようなものです。1つでこれら3つの状況すべてに対応するセキュリティアプローチはありません。例えば、駐車場にはゲートが必要になり、オフィスには警備員が必要になり、自宅には防犯ベルが必要になります。

同様に、これらの異なる種類のクラウドインフラストラクチャはすべて、抱えているセキュリティニーズが若干異なります。例えば、仮想マシンは物理マシンと同じように機能し、同時にいくつでもアプリケーションを実行することができます。仮想マシンでは、悪意のあるアプリケーションを正規のアプリケーションと同時に実行することが可能です。一方、コンテナでは1つのアプリケーションしか実行できないため、悪意のあるアプリケーションが実行されていないことを確認することよりも、そのアプリケーションが侵害されているかどうかを特定することの方が重要になります。

しかし、CWPP は、これらすべてのタイプのインフラストラクチャの脅威、特にマルウェア、脆弱性、および未承認のアプリケーションを検出し、除去するものです。

CWPPの主な機能とは?

世界的なリサーチ&アドバイザリ企業であるガートナーによると、CWPPは以下の8つの機能で定義されています。

  1. ハードニング、コンフィグレーション、脆弱性管理: CWPPでは、ソフトウェアが本番環境に投入される前であっても、ソフトウェアに脆弱性が存在しないことを確認します
  2. ネットワークファイアウォール、可視化、マイクロセグメンテーション:CWPP は、ネットワークを保護し、マイクロセグメンテーションを行います。後者の用語は、攻撃者がネットワーク全体を一度に侵害できないように、ネットワークをより小さな部分に分割することを意味します。
  3. システム完全性保証:CWPP は、クラウドシステムが意図したとおりに動作していることを確認します。
  4. アプリケーション制御と許可リスト:CWPPは、アプリケーションの許可リストに基づき、アプリケーションの許可とブロックを行います。
  5. エクスプロイトの防止とメモリ保護:CWPPは、アクティブに動作しているソフトウェアの脆弱性エクスプロイトを防止します。
  6. サーバーワークロードのエンドポイントでの検知と対応(EDR)、挙動監視、脅威の検出と対応:CWPPは、サーバーとアプリケーションの挙動の疑わしい変化や、アクティブな脅威に対応します。
  7. 脆弱性シールドによるホストベースの侵入防止:CWPPは、サーバーへの外部からの侵入を防止します。
  8. マルウェア対策スキャン:CWPPは、クラウドのワークロードに埋め込まれたマルウェアを検出します。

CWPPは、物理サーバー、仮想マシン、コンテナー、サーバーレス機能など、あらゆる種類のワークロードにこれらの機能を適用することができます。

CWPPは、マルチクラウドやハイブリッドクラウド上に展開されているサービスをどのように保護するのか?

CWPPはさまざまなワークロードに対応できるため、複数のクラウドに分散しているインフラストラクチャの保護に理想的です。複数のパブリッククラウドを組み合わせたマルチクラウドや、パブリッククラウドプライベートクラウドやオンプレミスインフラを組み合わせたハイブリッドクラウドなどには、さまざまな種類のワークロードが含まれます。CWPPは、組織がこれらのワークロードにあるクラウドセキュリティのリスクの確認と分析を簡単に一か所で行える「シングルペイン(1 枚ガラス)」を提供します。

CWPPとCSPM(クラウドセキュリティ体制管理)の違いは?

クラウドセキュリティ体制管理(CSPM)も、さまざまなクラウド上に展開されているサービスを保護するための自動化ツールの一種です。主な違いは、CSPMは外部で、クラウドの不適切な設定やコンプライアンス違反を探すのに対し、CWPPは内部で、クラウドで動作するソフトウェア内部の脅威を探すという点です。

CSPMについて、詳しくはこちらをご覧ください